Hoe de FBI verdachten van de grootste kinderpornowebsite wist te identificeren

Verscheidene internationale instanties werkten samen om 'Operation Pacifier' tot een succes te brengen.
03 maart 2016, 11:12am

In februari 2015 lanceerde de FBI een onderzoek dat opmerkelijk was om twee redenen: het was het grootste rechtelijke hackingonderzoek tot dan toe, en in het onderzoek beheerden zij zelf 13 dagen lang een kinderpornografiewebsite.

Ook suggereerden gerechtelijke documenten, geanalyseerd door Motherboard, dat een buitenlands bureau in samenwerking met de FBI mogelijk al minstens vier maanden een andere kinderpornografiewebsite bedienden.

De doelwitten van het FBI-onderzoek waren gebruikers van Playpen, een site op het zogenaamde dark web, dat een FBI-agent beschreef als "de grootste geheime kinderpornografie-service op dat moment bekend" in een criminele aanklacht.

Om deze gebruikers in de echte wereld te kunnen vinden, nam de FBI controle over Playpen en beheerden zij het van 20 februari tot 4 maart in 2015, waarbij ze gebruik maakte van een hacking tool om de bezoekers van de website te identificeren. De FBI hackte computers in de VS, Griekenland, Chili en waarschijnlijk ook elders.

Maar om de twee grootste gebruikers van Playpen te identificeren gebruikte de FBI informatie verschaft door een buitenlandse wetshandhavingsinstantie (FLA), volgens gerechtelijke documenten.

Die FLA had een andere kinderpornografiewebsite 'gevangen', bekend als "Website 2." De documenten wijzen erop dat deze website vier maanden na de 'inval' nog operationeel was, terwijl de FLA er nog steeds controle op zou hebben. De buitenlandse instantie gebruikte hun eigen hackingtechniek om ten minste één van de gebruikers te identificeren, waardoor de FBI een verdachte moderator van Playpen kon identificeren.

Drie mannen in Amerika, Steven Chase, Michael Fluckiger en David Lynn Browning, zijn beschuldigd als mogelijke administratoren en moderatoren van Playpen, waarmee zij een rol zouden hebben in het exploiteren van kinderen. Hun zaken werden in maart en augustus van 2015 bekend, maar zijn nu pas gerapporteerd.

***

In November 2014 beheerde een buitenlandse instantie, "terwijl zij onafhankelijk opereerden en hun eigen nationale wetten volgden", een kinderpornografiewebsite gehost door het zogenaamde dark web. Dit volgens een aanklacht tegen een van de verdachten, gesigneerd door Karlene Clapp, een special agent binnen de FBI. De aanklacht en andere gerechtelijke documenten noemen geen instantie of land, noch de website die was overgenomen.

De maand na de overname verkreeg de FLA een IP-adres van een van de moderatoren van deze website, door het doelwit een link te versturen om een video te streamen op een andere website.

"Als de gebruiker ervoor koos het bestand te openen, begon een videobestand met foto's van kinderpornografie af te spelen, en kon de FLA het IP-adres van gebruikers die de video openden achterhalen," zo beschrijft de aanklacht van de FBI. Een aantal van de gerelateerde gerechtelijke documenten werden recentelijk gedeeld door een gebruiker op Reddit.

Het onderzoek naar Playpen bestond uit een samenwerking tussen de FBI en Europol, genaamd 'Operation Pacifier'

De video was zo geconfigureerd dat wanneer het werd geopend, de computer van het doelwit een internetconnectie opende buiten het anonieme netwerk dat gebruikt werd door de kinderpornografiewebsite. "[Daardoor] was de FLA in staat het werkelijke IP-adres van de gebruiker te achterhalen, alsmede een activiteitidentificatie waarmee de activiteit van een bepaalde gebruiker gelinkt kon worden aan een IP-adres," zo gaat de aanklacht verder. (De documenten beschrijven niet expliciet of deze site gehost werd op het Tor-netwerk of een ander minder populair netwerk, zoals I2P; het beschrijft alleen dat de website opereerde binnen "het Netwerk".)

Dit IP-adres werd daarna doorgespeeld aan de FBI, en leidde tot David Lynn Browning in Kentucky. Browning werd ervan verdacht een moderator te zijn op de website die werd beheerd door de FLA, en een moderator te zijn op Playpen, blijkt uit de berichten van de FLA aan de FBI in april 2015. Hij werd in juli 2015 gearresteerd, volgens de gerechtelijke documenten.

De FLA verkreeg ook het IP-adres van Michael Fluckiger, die ervan verdacht wordt een moderator te zijn op gehackte website en een administrator op Playpen. De gerechtelijke documenten geven niet aan of hij op dezelfde manier was geïdentificeerd, maar hij werd gearresteerd in maart 2015. In de aanklacht tegen Fluckiger, benoemt de FBI dat de FLA in staat was berichten te achterhalen van een derde website, welke werd gebruikt als een chatruimte om kinderpornografie en kinderexploitatie te bediscussiëren.

Steven Chase is ook aangeklaagd voor zij rol als en administrator op Playpen. Het is onduidelijk hoe hij is geïdentificeerd, maar hij werd gearresteerd op 20 februari 2015, de dag dat de FBI Playpen begon te beheren vanaf hun eigen servers. Dinsdag gaf een rechter de verdachte meer tijd op een onderzoek te laten doen naar zijn geestelijke gezondheid.

***

Er is veel aandacht uitgegaan naar hoe de FBI Playpen 13 dagen lang beheerde. De advocaten van de verdachten beargumenteerden dat de FBI hiermee "schandelijk gedrag" vertoonden, omdat zij in feite kinderpornografie distribueerde. Een rechter in een gerelateerde zaak oordeelde echter dat dat niet zo was.

Maar wanneer wordt gekeken naar het verloop van de betrokkenheid van de FLA lijkt het erop dat deze onbekende instantie mogelijk al veel langer een vorm van controle had over een kinderpornografiewebsite, mogelijk zelfs minstens vier maanden. Volgens gerechtelijke documenten nam de FLA de website in november 2014 over. Op 13 maart 2015 nam een undercover FBI-agent toegang tot de site. Logischerwijs zou de site dan nog actief moeten zijn waardoor de FBI-agent in kon loggen.

"Na succesvol in te hebben gelogd op de website, observeerde de undercover-agent een chatscherm, waar een lijst werd gegeven van de actieve gebruikers in de chatruimte aan de linkerkant van het scherm, en hun recentelijk geplaatste berichten rechts naast hun gebruikersnaam," zo beschreef de aanklacht.

Het wordt echter niet duidelijk in de gerechtelijke documenten waar de overname van de tweede kinderpornografiewebsite uit bestond. De documnten geven niet aan of dit betekent dat de FLA deze site beheerde vanaf hun eigen servers, zoals in de Playpen-zaak, of dat zij de controle namen over een bestaand administrator-account en toelieten dat de website door gebruikers werd beheerd.

Playpen had drie administratoren, waaronder Fluckiger en Chase, en verscheidene moderatoren, waaronder Browning, volgens de documenten. Administratoren behandelen de technische aspecten van de website, hosten het, ontwikkelen regels en voeren andere taken uit. Moderatoren spelen een minder technische rol en hielden het forum netjes en georganiseerd.

De naam Playpen wordt in de gerechtelijke documenten van deze drie verdachten niet genoemd, maar het is duidelijk de website in kwestie. Een criminele aanklacht beschrijft dat "Vanaf om en nabij augustus 2014 tot om en nabij 20 februari 2015, website 1 fysiek werd gehost op de servers in Lenoir North Carolina." Playpen was gebaseerd op dezelfde fysieke locatie, tot 20 februari, toen de website werd overgenomen door de FBI. Vanaf toen werd Playpen beheerd vanaf servers in Virginia, volgens de documenten.

Chase, Fluckiger en Browning zijn alledrie onderdeel van dezelfde aanklacht, waarin zij worden beschuldigd van een reeks kinderpornografiemisdrijven. Browning en Fluckiger pleitten schuldig in december, maar de zaak van Chase wordt nog in de rechbank beslecht.

Er zijn slechts twee van de drie Playpen-administratoren beschuldigd in deze aanklacht. Het is nog onduidelijk of de derde nog zal volgen. Het is ook niet geheel duidelijk of Chase, die gearresteerd werd op 20 februari 2015, degene was die de FBI controle liet nemen over de Playpen-server.

***

Peter Carr, een woordvoerder voor het department van recht, antwoordde op de specifieke vragen van Motherboard over deze zaken dat "Wij hebben geen publieke informatie die we jullie kunnen geven, naast wat jullie al hebben gevonden."

De FBI wilde geen commentaar leveren.

De National Crime Agency van het Verenigd Koninkrijk vertelde Motherboard in een email dat "de NCA doorgaans vragen of opmerkingen over lopende onderzoeken noch accepteert noch afwijst in verband met veiligheidsredenen."

"We werken nauw samen met internationale partners om gerechtelijke informative uit te wisselen en samen te werken om degenen die te maken hebben met seksuele exploitatie in rekening te brengen," voegde de woordvoerder toe.

Ondanks dat de naam van de FLA niet werd genoemd in de gerechtelijke documenten, het onderzoek naar Playpen bestond uit een samenwerking tussen de FBI en Europol, genaamd 'Operation Pacifier'.

Claire Georges, een woordvoerder voor Europol, vertelde Motherboard in een email dat "Europol helaas geen commentaar kan geven over Operation Pacifier. We kunnen jullie alleen naar de FBI verwijzen, wie bevoegd zijn te communiceren over deze zaak." Toen werd gevraagd of zij kon bevestigen dat de actie van de FLA inderdaad onderdeel was van Operation Pacifier, voegde Georges toe "Het spijt me zeer, maar ik ben niet bevoed om hier meer over te zeggen."

Nu steeds vaker details naar boven komen over het sluiten van kinderpornografiewebsites, wordt het duidelijk dat meerdere gerechtelijke instanties samen werken en een variatie aan tactieken gebruiken om de verdachten op het zogenaamde dark web te kunnen identificeren.